Rechnungsbetrug in Unternehmen ist zwar kein neues Phänomen, doch seit kurzem erhält CERT.be, der operative Dienst des Zentrums für Cyber-Sicherheit Belgien (ZSB), häufiger Meldungen über solche Betrugsfälle. Das ZSB warnt daher die Unternehmen, bei Zahlungen wachsam zu sein.
Beim Rechnungsbetrug lassen Cyberkriminelle die Kontonummer der regulären Lieferanten ändern. Die Cyberkriminellen nehmen die Identität eines Lieferanten an und bitten einen Mitarbeiter der Finanzabteilung oder der Buchhaltung, die Kontonummer zu ändern und Zahlungen zu veranlassen. Unter Umständen bemerkt der Mitarbeiter nicht, dass die Aufforderung nicht vom Lieferanten selbst stammt und die Zahlungen vielmehr an das Konto des Kriminellen gehen.
Es sieht so aus, als ob Cyberkriminelle gerade während der Ferienzeit verstärkt aktiv werden. Sie rechnen mit einer geringeren Wachsamkeit des Personals während der Sommermonate oder hoffen, dass die Urlaubsvertretung mit den geltenden Prozedere weniger vertraut ist.
Miguel De Bruycker, Direktor Zentrum für Cyber-Sicherheit Belgien
Eine gefälschte Rechnung kann verschiedene Formen annehmen. Cyberkriminelle fälschen Originalrechnungen, indem sie die Bankkontonummer ändern, oder sie versenden Geisterrechnungen, das sind Rechnungen, für die es keine Gegenleistung gibt.
Wichtigste Tipps, um sich gegen Rechnungsbetrug zu wappnen
Auf Managementebene:
- Kontaktieren Sie den Absender über eine andere Telefonnummer oder E-Mail-Adresse als die in der erhaltenen Nachricht (um sicherzustellen, dass es sich tatsächlich um den korrekten Absender handelt). Benutzen Sie z. B. forward statt reply.
- Stellen Sie sicher, dass die Zahlungsprozedere klar sind und genau eingehalten werden.
- Schaffen Sie klare Verfahren zur Überprüfung von Zahlungstransfers oder von Anfragen zu sensiblen Informationen, insbesondere per E-Mail.
- Informieren Sie die Mitarbeiter und stellen Sie sicher, dass sie angemessen geschult sind, damit sie Betrügereien schnell erkennen und angemessen reagieren können.
Auf Mitarbeiterebene:
- Kontaktieren Sie den Absender über eine andere Telefonnummer oder E-Mail-Adresse als die in der erhaltenen Nachricht (um sicherzustellen, dass es sich tatsächlich um den korrekten Absender handelt). Benutzen Sie z. B. forward statt reply.
- Vergleichen Sie die Kontonummer auf der Rechnung mit Ihren eigenen Unterlagen.
- Achten Sie auf so genannte dringende Zahlungen, die eine Abweichung vom normalen Prozedere erfordern.
- Strikte Beachtung der Sicherheits- und Zahlungsvorschriften. Zum Beispiel: Lassen Sie Zahlungen ab einem bestimmten Betrag von mehreren Mitarbeitern unterschreiben.
- Beschreiben Sie Fremden gegenüber nie, wie in Ihrem Unternehmen der Zahlungsverkehr gehandhabt wird. Stellen Sie sicher, dass diese Prozedere nur für den internen Gebrauch bestimmt sind.
Betrug mit der Unternehmensidentität
Bei Betrug mit der Unternehmensidentität treten Cyberkriminelle im Namen Ihres Unternehmens auf. Dies kann nach einem Cyber-Angriff oder durch Kapern eines Geschäftskontos erfolgen. Cyberkriminelle können z. B. mit Rechnungsbetrug Geld von Ihren Kunden stehlen.
Empfehlungen zur Verhinderung des Betrugs mit der Unternehmensidentität
- Verwenden Sie immer starke Passwörter für Ihre Accounts.
- Verwenden Sie nach Möglichkeit eine 2-stufige Verifizierung (2FA).
- Schulen Sie Ihre Mitarbeiter in der Erkennung von Phishing-Versuchen.
- Behandeln Sie Unternehmensdaten mit großer Sorgfalt.